Beheerstoegang tot de website van de Vrije Universiteit Brussel was sinds haar ingebruikname zo goed als vrij toegankelijk. Dat kwam omdat het testaccount uit de ontwikkelingsfase met standaard wachtwoord na jaren nog niet was verwijderd. “Kwaadwilligen met een beetje ICT-kennis konden met dit account gemakkelijk informatie aanpassen of zelfs proberen de bezoekers van de website te infecteren met een virus”, aldus student Toegepaste informatica Nicolaas Vanermen. Inmiddels zijn de bevoegde diensten op de hoogte en is het account op non-actief geplaatst.
Het lek zou bestaan sinds de nieuwe VUB-website in gebruik is genomen. Het blijft dan ook een raadsel hoe deze cruciale fout tot nu toe niet is opgemerkt. Het lijkt er niet op dat hackers misbruik van de situatie hebben gemaakt, en dat is maar goed ook.
Test
De VUB-website gebruikt het populaire Belgische beheerssysteem Drupal. “Drupal heeft een vrij typische voetafdruk waardoor iemand die er ervaring mee heeft het snel als dusdanig kan herkennen en de loginpagina kan vinden, ook al is deze verstopt zoals op de VUB-website”, aldus Vanermen. Voor het testen van een website tijdens de ontwikkelingsfase is er meestal een testaccount . Gemakshalve heeft dit account als gebruikersnaam ‘test’, met het even voor de hand liggend wachtwoord ‘test’. “Dat was bij de VUB het geval. Een klassieke fout die helaas nog veel te vaak wordt gemaakt”, weet Vanermen.
Er lijken zich geen rampen te hebben voorgedaan. Inmiddels is het testaccount gedeactiveerd en zullen kwaadwilligen iets meer moeite moeten doen om de website van de universiteit te kraken.
Overigens is de VUB niet de enige onderwijsinstelling die deze fout maakte. Hogeschool Thomas More beging dezelfde flater. Ook daar is de fout intussen rechtgezet.
0 Comment